Мой гуглевский акаунт был заблокирован. Гугл сообщал:
Verify your account
We've detected unusual activity on your account. To immediately restore access to your account, type your phone number below.
Когда их техсаппорт разблокировал мой аккаунт, то я увидел, что действительно с моего аккаунта была попытка разослать spam. Как такое возможно. Как кто-то мог знать мой пароль? Такой же пароль был только на LinkedIn (не факт что они не коллекцианируют плаин текст пасвордс). Оттуда добыли?
может троянчик на каком нить компе с которого ходили на...12.05.11 10:33 Автор: Killer{R} <Dmitry> Статус: Elderman
> может троянчик на каком нить компе с которого ходили на > гугл
Вполне может и троян быть. Но как он может перехватить ввод имени пользователя и пароль именно гугля? Кейлогер должен знать что я пошёл именно на гугль логиниться. Или кто-то управляет IE в момент гугль-аунтификации. Но всё же думаю, всё гораздо проще, например, с linkedIn могло что-то утечь . Сейчас это модно. Только и слышишь что об утечках. На linkedin аккаунт в точности совпадал с гуглевским.
Очень просто17.05.11 02:15 Автор: Killer{R} <Dmitry> Статус: Elderman Отредактировано 17.05.11 02:19 Количество правок: 2
> Вполне может и троян быть. Но как он может перехватить ввод > имени пользователя и пароль именно гугля? Кейлогер должен > знать что я пошёл именно на гугль логиниться. Или кто-то > управляет IE в момент гугль-аунтификации. Но всё же думаю, Очень просто. Способов перехвата вводимых юзером в браузере данных в т.ч. авторизации - уйма: хуки на уровне wininet API, browser helper object, банальный кейлоггер... Если сайт не https (или если вы не обращаете внимания на цвет и предупреждения индикатора "безопасности" соединения) к этому добавляются хуки на сокеты, LSP, TDI/NDIS inmermediate фильтры, трояны на других компах локалки с прокаченным скиллом ARP спуфинга... И это только сходу.
Еще больше способов - узнать на каком сайте ща юзер сидит - а именно способы теже самые + банальный GetWindowText с HWND address bar'а.
На домашних компах я не могу сделать больше, чем делает...17.05.11 04:13 Автор: developertmp Статус: Незарегистрированный пользователь
На домашних компах я не могу сделать больше, чем делает делает антивирусное ПО.
На работе - просто не возможно оценить на сколько окружение безлпасно. Скорее всего небезопасно.
перехватывается всё подряд и отправляется владельцу трояна.13.05.11 12:24 Автор: Den <Денис Т.> Статус: The Elderman
далее простой визуальный анализ текстового файла.
на сколько велика вероятность того, что пользователь залезет в свой почтовый ящик в течении первых 5-ти мин. после логона?
Я бы спросил, насколько вероятно, что пользователь авторизуется где-нибудь в первые 5 минут после логона?13.05.11 13:16 Автор: Ustin <Ustin> Статус: Elderman Отредактировано 13.05.11 13:17 Количество правок: 1
Даже если вайфай мониториться, всё проезжает по https. А вот наличие кейлогера более вероятно. На домашних компах - вряд ли. А на работе - больше чем возможно. Но всё равно вопрос - как кейлогер определяет, что нажатия связаны с логином и именно на гугл.
Да, не обратил внимания что речь про гугл.13.05.11 17:55 Автор: Fighter <Vladimir> Статус: Elderman
> > Или пользование общественным вайфаем... > > Даже если вайфай мониториться, всё проезжает по https. А Но, чисто теоретически), если вайфай полностью мониторится, то ничего не мешает перехватить все необходимое для дешифровки https-трафика. Прокси же как-то работают ;)
> вот наличие кейлогера более вероятно. На домашних компах - > вряд ли. А на работе - больше чем возможно. Но всё равно Есть еще куча возможностей: всякие расширения/надстройки браузера, приложения разных соцсетей,..
> вопрос - как кейлогер определяет, что нажатия связаны с > логином и именно на гугл.
Что это сейчас уже так просто - взломать https зашифрованные...14.05.11 02:24 Автор: developertmp Статус: Незарегистрированный пользователь
> > > Или пользование общественным вайфаем... > > > > Даже если вайфай мониториться, всё проезжает по https. > А > Но, чисто теоретически), если вайфай полностью мониторится, > то ничего не мешает перехватить все необходимое для > дешифровки https-трафика. Прокси же как-то работают ;) > > вот наличие кейлогера более вероятно. На домашних > компах - > > вряд ли. А на работе - больше чем возможно. Но всё > равно > Есть еще куча возможностей: всякие расширения/надстройки > браузера, приложения разных соцсетей,.. > > вопрос - как кейлогер определяет, что нажатия связаны > с > > логином и именно на гугл.
Что это сейчас уже так просто - взломать https зашифрованные данные? Пусть есть засниференный дамп и нам не жалко 1 года (имею ввиду ломать а не в тюрьме сидеть), положим.
1) в моём случае не используетcя/не навязывается "ложный прокси сервер".
2) после того как установлено слединение с гугл-майл сервером, невозможно встать посередине и дешировывать трафик и перенаправлять его на гугл и обратно клиенту.
Если всё это так, то правильно ли я скажу, что расщифровка и перехват логина по этоу схеме невозможен.
О расшифровке же кусков промониториного https трафика, даже если предположить, что опонент даже и не снифит, а вообще имеет доступ к маршрутиризатору - я сомневаюсь. Зря сомневаюсь?
интернет кафе с одним внешним ip, куки зевак в руках админа... идея ясна?16.05.11 16:02 Автор: kstati <Евгений Борисов> Статус: Elderman
это если результат функции пароля сохранен в куки16.05.11 16:22 Автор: Den <Денис Т.> Статус: The Elderman Отредактировано 16.05.11 16:26 Количество правок: 1
или если сессия еще не закрыта. но, опять же, с https канает только подмена сертификата
1) Ложный прокси-сервер может стоять на гейте интернет-кафе и проч со всеми вытекающими; 2) Твоя ситуация возникла врядли по этой причине, но 3) Не стоит недооценивать оппонента :)16.05.11 11:30 Автор: Ustin <Ustin> Статус: Elderman
спамеры не ищут сложных путей.
если они могут инфицировать комп клавиатурным шпионом, им нет никакого смысла писать драйвер-прокси для перехвата, подмены сертификата и дешифровки/шифровки https сессии. тем более, что такой метод проканает только с крайне неопытным пользователем.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
